工业控制系统例如在制造和加工工业中应用，比如在化工厂、石油生产厂、 精炼厂、纸浆和造纸厂、钢厂和自动化工厂中应用。工业控制系统也广泛地应 用在电力工业中。这种工业控制系统可能需要包括或结合那些添加安全特性的 装置。要求除标准工业控制系统所提供的特性之外的附加安全特性的过程的示 例是在离岸生产平台、在核电站处的某些处理部分和化工厂的危险区处的过 程。安全特性可与安全停机、消防和/或警报系统协作使用，以及用于火和气的 检测。
在安全相关的控制系统中使用高级的计算机系统引发了在验证大量软件代 码和复杂电子设备的正确性方面的难题。对于如何使这种系统能够获得更高的 安全等级，存在例如被描述为标准的现有技术。这种现有技术通常集中在产品 (包括硬件部分和软件部分)的开发过程中。其还描述了诊断功能性和算法。 现有技术还致力于以不同的硬件冗余和软件的多样性来在执行的控制系统中得 到更高的安全等级。高级的安全控制系统的实现在正常情况下是基于双重或三 重系统，其具有在使能一个输出信号前的某一类型的表决。一些安全控制系统 已经通过将焦点集中在系统设计和实施这种系统中的最高可能的质量，而实现 了一个足够安全的单一机组解决方案。当今的多机机组系统和单机机组系统经 常包含软件和硬件中的某一数量的诊断算法。
在DE19857683“Safety critical fucntion monitoring of control systems for process control applications has separate unit(用于过程控制应用的控制系统中的 安全关键功能监控具有分立单元)”文献中描述了一个包括有安全关键功能的 工业控制系统的例子。该系统具有主控制器总线，该总线通过多个分散型数据 接收器与不同的处理器相耦合。
在GB2277814中描述了一个在工业控制系统中具有提高的故障检测能力 的装置的例子，其涉及一种包含有中央可编程单元(CPU)的容错PLC(可编 程逻辑控制器)。将一对第一I/O模块连接在正电源总线和负载之间。将一对第 二I/O模块连接在负电源总线和负载之间。在GB2277814中还描述了提供给负 载的电源并不在位于负载的任一侧上的I/O模块之一故障后断开。
在US6,201,997中描述了一种双处理器解决方案，其中两个处理器接收相 同的输入数据且处理相同的程序。
发明概述
本发明的目的是使得能够提高控制系统的安全完整性等级。
该目的可通过以下方法实现，从而提高用于现实目标控制的控制器的安全 完整性等级，该方法的步骤为，附接安全硬件单元，下载软件到控制器的CPU 和所附接的安全硬件单元，配置所附接的安全硬件单元，以将控制器的输出值 设置在安全状态中用于在线控制。
本发明的优点是：使基于单控制器单元的控制系统的安全等级提高到以前 主要是双或三控制器系统才可得到的等级。本发明降低了实现和维护这种控制 系统的复杂度。
本发明的另一个优点是：基于本发明且适于作高安全等级控制的控制系统 也可通过不使用所添加的安全硬件单元，而用于非安全关键(non safety-critical) 的过程控制。本发明使得能够提高在使用单机机组控制器时的灵活性。与控制 系统的完全安全等级使用相比，这种单控制器的过程控制使用将是一个花费更 少且更快速的控制器。由于该可插接的安全硬件单元不被用于非安全关键的控 制，所以与现有技术相比的、在单控制器中更少量的软件允许更大的应用软件 执行得更快。
本发明的再一个优点是：使得一个控制器在其原始被安装用于现实目标控 制后的某一时间可达到一个提高的安全完整性等级。例如，一个控制器可首先 被安装去执行非安全关键的控制，而一年后，将该控制器配置成用于安全关键 控制的已提高的安全完整性等级。
附加的优点是得到了如何使用户与可插接单元相接口的解决方案。用户接 口将被简化，使得例如工程师将指定用于应用的所需的安全完整性等级。
本发明的另一个目的是提供一种控制系统，打算用于现实目标的安全相关 的控制。该控制系统包括具有单个主CPU的控制器，和一个附接的安全硬件 单元，该安全硬件单元包括用于提高该控制系统的安全完整性等级的装置。
附图说明
结合所附的示意图，将对本发明进行更为详细的说明。
图1所示的是依照本发明的方法的总览。
图2所示的是控制器与本地输入/输出以及与附接的安全硬件单元的简化图。
图3所示的是控制器与附接的安全硬件单元、与通过总线解决方案连接的 远程输入/输出的简化图。
图4所示的是包含控制器与附接的安全硬件单元的控制系统的总览。
优选实施例的描述
图1所示的是依照本发明的方法的总览。该方法提供了一种提高了安全完 整性等级的控制器10，例如工业控制系统的工业控制器。控制器的示例是可编 程逻辑控制器(PLC)和现场控制器。
在本描述中，控制器具有收集测量结果和对与控制系统相连的现实目标进 行控制的用途。现实目标的示例为阀、发动机、泵、压缩机、开关设备、传送 带、产品、原料或批量。
按安全完整性等级是指控制器满足实际的标准安全完整性等级或标准安全 完整性等级，例如SIL 1，SIL 2，SIL 3或SIL 4(SIL根据标准IEC 61508或之 后的IEC标准)。
图1显示该方法包括将安全硬件单元11(图2中所示的)附接到控制器10 的步骤。安全硬件单元11与控制器的CPU进行通信。安全硬件单元11可以 是电路板的形式，并典型地包括CPU，也可以包括输入/输出(I/O)接口。这 样的I/O接口可包括一组存储芯片和现场可编程门阵列(FPGA)。该安全硬件 单元还可包括本地I/O通道，例如数字输出(DO)，以便提供强制的输出信号 例如给外部警报系统。此外，该安全硬件单元可包括用于存储器影像(memory shadowing)的功能性。安全硬件单元11的一个替换名称是安全模块。该安全 硬件单元11包括经由总线14与控制器的CPU进行通信的通信装置。该安全 硬件单元11可经由底板与控制器10相连。在可替换的实施例中，该安全硬件 单元11是添加到控制器10的主电路板上的可插接单元，该主电路板包括控制 器10的主CPU。
另外，图1显示该方法包括将具有安全相关的配置数据的软件不仅下载到 如图2中所示的控制器10中，还下载到所附接的安全硬件单元11的步骤。在 一个实施例中，这种软件的下载是由来自计算机装置(例如个人计算机或工作 站)的、与控制器10相连的软件工具进行的。配置数据的示例是取决于在前 所提及的安全标准的应用分类。配置在安全相关的应用之间的通信能力。这种 配置数据的另一个示例是应用访问级别，其涉及到用户授权控制。
图1中所示方法的另一个步骤是配置安全硬件单元11，使其执行安全功 能逻辑，并将控制器10的输出值设置于安全状态中用于在线安全控制。这确 保了图4中所示的控制系统20进入安全状态。将输出值设置于安全状态中或 者以主动方式进行或者以被动方式进行。安全功能逻辑的执行取决于该配置数 据。用本领域普通技术人员所公知的语言编写该安全功能逻辑。这样的语言可 以是根据带有安全相关功能的可能扩展的IEC6-1131。
控制器10在带有和不带有附接的硬件单元11时都具有用于非安全相关的 控制的相同控制功能性。应该理解的是：与现有技术相比，这使得对安全控制 有更灵活的技术解决方案。作为示例，控制器10在带有和不带有附接的硬件 单元11时都提供相同的程序指令组。程序语言的示例是如IEC6-1131所定义 的结构化文本。这意味着原始仅为非安全关键的应用而配置的控制器10可在 随后的时间被配置以前面所提及的安全硬件单元11，并且在被配置用于在线安 全控制后，该控制器10仍然可如添加安全硬件单元11之前般地运行相同的非 安全关键的应用。
在本发明的一个实施例中，将控制器配置和控制器代码下载到控制器10 中。是软件工具的用户22来启动该控制器配置和控制器代码的下载。用户的 示例是工艺工程师、维修工程师或工艺操作员。在定义控制器配置和控制器代 码期间或之后，产生硬件单元的诊断信息。在该实施例中，将该诊断信息下载 到所附接的安全硬件单元11中，并用于在线诊断目的。
图2显示在如图1所示的上述方法中所涉及到的控制器可获得对直接与控 制器相连的多个输入和输出单元的访问。
图3显示在如图1所示的上述方法中所涉及到的控制器可通过连接在控制 器和输入/输出单元之间的总线而获得对现实目标的多个输入和输出值的访问。 在这样的实施例中，总线通信的有效性在所附接的安全硬件单元11中得到验 证。这样的输入/输出单元的一个示例是远程I/O。总线的一个示例是现场总线。 总线的另一个示例是控制器的内部总线，例如在控制器10的底板上运行的总 线。
如果不同地实现总线验证逻辑，则这是一个优点。此外，如果在本发明的 一个实施例中，所附接的安全硬件单元不同地产生用于总线通信的安全相关的 头标，则这也是一个优点。
为了进一步改善控制系统的可靠性和诊断，输入/输出单元15可包括两种 不同的实现，每种均验证总线业务量的正确性，并且每种均产生出用于总线14 通信的安全相关的头标。
另外，在本发明的一个实施例中，在所附接的安全硬件单元11中对控制 器10的定时监督进行验证。本发明的一个实施例还可包括在所附接的硬件单 元11中对逻辑的正确次序进行验证。此外，一个实施例可包括在所附接的硬 件单元11中对新控制功能性逻辑的正确下载进行验证。例如，这样的验证可 涉及到一个校验和的测试。
仅允许那些作为安全分类的用户登录的用户去修改控制功能性逻辑和参数 是十分有利的。这种分类可借助用户密钥而在控制系统中得到验证。
可将安全硬件单元11配置成作为控制器10的从动装置运行。那意味着在 安全硬件单元中执行的安全功能逻辑是从控制器触发的。安全硬件单元监督它 是在定义的时间被触发的。
在另一个实施例中，安全硬件单元11可包括冗余配置中的第一和第二模 块。第二模块典型情况下是由来自于第一模块的数据更新的，并且如果检测到 第一模块出现故障，则第二模块从第一模块接管控制系统的安全相关的控制。 控制器可具有冗余的CPU单元，其在主CPU单元出现故障的情况下，从主CPU 单元接管对现实目标的控制。冗余的CPU建立与所附接的安全硬件单元的第 一或第二模块的通信。
本发明的另一个实施例是控制系统20，其用于对现实目标的安全相关的 控制。这样一个控制系统包括具有单个主CPU的控制器10，和所附接的安全 硬件单元11，该安全硬件单元包括将控制器的输出值设置于安全状态中用于在 线安全控制的装置。